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Beschreibung 



system zur Erfassung und Anzeige eines Sicherstatus von Gera 



ten 



Die Erfindung betrifft ein System sowie ein Verfahren zur Er- 
fassung und Anzeige des Sicherstatus von Geraten sowie zu 
Komplexen zusammengef assten Geraten. 

10 Mit der Verbreitung offener Kommunikationsmedien wie bei- 

spielsweise dem Internet oder Intranet und der dabei verwen- 
deten standardisierten Protokolle (z.B. TCP/IP) in der Auto- 
<| xuatisierungstechnik gewinnen Sicherheitsaspekte zunehmend an 
Bedeutung. Es ist zu erwarten, dass Automatisierungsgerate 
15 und -systeme in Zukunft vermehrt in einer offenen Kommunxka- 
tionsumgebung eingesetzt werden. Deshalb mUssen sie mxt lexs- 
tungsfahigen sicherheitsmechanismen ausgerUstet werden. Hier- 
bei spricht man von sogenannten Security-Erweiterungen. Die 
Aufrustung mit sicherheitsmechanismen bzw. EinfUhrung von Ge- 
20 raten, welche mit Sicherheitsmechanismen ausgestattet smd, 
wird in der Automatisierungstechnik nicht auf einen Schlag 
erfolgen. Hieraus wird sich eine Koexistenz von Geraten mxt 
und ohne Sicherheitsmechanismen ergeben. Beispielswexse stel- 
len Altgerate sowie Low-Cost-Gerate in der Kegel keine Sx- 
cherheitsmechanismen zur Verfugung. Auch in Geraten mxt Si- 
cherheitsmechanismen konnen einzelne Sicherungen zumindest 
temporar, beispielsweise fUr Inbetriebnahmen, abgeschaltet 



sein 



^- u ^K^-ti- wird im hier verwendeten Zusammenhang fol- 
30 Unter Sicherheit wira im niex. 

gendes verstanden: 

Die Gerate bzw. das Automat isierungssystem verfUgt unter 
einen Zugrif f sschutz, d.h. Benutzer konnen nur mit xhnen 
35 zugeordneten Rechten auf die Ressourcen des Gerates zu- 

greif en- 
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Es existiert ein Kommunikationsschutz, d.h. der Daten- 
transfer von und zu Automatisierungsgeraten bzw. der Da- 
tentransfer Uber Netzwerkkomponenten innerhalb eines Auto- 
laatisierungssystems ist geschtitzt. Hierbei sind die Daten 
sowohl gegen Veranderungen des Dateninhalts (Integritat) , 
unberechtigtes Mithoren (Vertraulichkeit) als auch Verlet- 
zung der Echtheit (Sicherstellen der Authentizitat ein- 
schliefilich des Abweisens von Wiederholungen bereits ge- 
sendeter Nachrichten) geschtitzt. 

Sicherstellen der notwendigen VerfUgbarkeit . Hier ist z.B. 
an einen Schutz gegen DoS-Attacken (Denial-of-Service- 
Attacke: Eine derartige Attacke ist eine Methode, einen PC 
tiber ein Netz mit einer Vielzahl von sinnlosen Anfragen zu 
belasten. Ziel ist hierbei, dass der PC/Server nicht mehr 
erreichbar ist) oder Spoofing (Unter Spoofing wird allge- 
mein ein Tauschungsversuch verstanden; beispielsweise kOn- 
nen IP-Adressen gef alscht werden) . 

Neben dem Sicherheitsstatus eines einzelnen Autoiaatisierungs- 
gerats ist auch die Erkennbarkeit der Sicherheit von Kommuni- 
kationskanalen zwischen den beteiligten Geraten und der ge- 
samte Sicherheitsstatus eines Automatisierungssystems von Be- 
deutung. Durchgangige L5sungen fur Sicherheitskonzepte bei 
Automatisierungsgeraten bzw. -systemen fehlen heutzutage, da 
die cerate bisher durch Abschottung von of fenen Zugangen ge- 
sichert wurden. Demzufolge stellte sich das Problem nicht m 
dem zukunftig zu erwartenden Umfang. Durch die zunehmende 
Verbreitung des Internets auch in der Automatisierungstechnik 
ist die EinfUhrung leistungsf ahiger sicherheitsmechanismen 
jedoch von Bedeutung . 

Der Erfindung liegt die Aufgabe zugrunde, ein System sowie 
ein Verfahren anzugeben, welches die Erfassung sowie die An- 
zeige des Sicherheitsstatus eines Cerates bzw. eines aus meh- 
reren Ceraten zusammengef assten Komplex vorort schnell und 
ohne weitere Hilfsmittel erm5glicht. 
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Diese Aufgabe wird gel5st durch ein System zur Anzeige 
und/oder Erfassung eines Sicherheitszustands von Geraten, 
welche uber interne Sicherheitsmechanismen verfugen und/oder 
aus derartigen Geraten zusainmengesetzten Komplexen mit gera- 
teinternen Mitteln zum Feststellen des Sicherheitsstatus min- 
destens eines Gerats, mindestens einer Anzeigevorrichtung zur 
externen Anzeige eines Sicherheitsstatus mindestens eines Ge- 
rats direkt am Gerat, Anzeigemitteln zur internen Anzeige des 
Sicherstatus mindestens eines Gerat direkt im Gerat und einer 
Vorrichtung zur Obertragung von Daten zwischen den Geraten 
eines Komplexes, wobei der Status der Anzeigemittel zur da- 
tentechnischen Weiterverarbeitung im Geratekomplex vorgesehen 



ist . 



Der Erfindung liegt die Erkenntnis zugrunde, das bei zuneh^ 
mender Nutzung von offenen Kommunikationsmedien die Sicher 
heitsaspekte im Bezug auf die an der Kommunikation beteilig- 
ten einzelnen Gerate zunehmend an Bedeutung gewinnen. Das Zu 
lassen nur berechtigter Benutzer zu den jeweiligen Geraten 
sowie eine Gewahrleistung von korrekter Obertragung der Daten 
zwischen unterschiedlichen Geraten steht hierbei im Focus der 
Sicherheitsaspekte. Urn jederzeit Kenntnis uber den speziellen 
Sicherheitsstatus eines Gerats bzw. eines aus mehreren Gera- 
ten zusammengesetzten Systems erlangen zu kSnnen, ist es so 
mit von vorteil, wenn die beteiligten Gerate ihren Sicher- 
heitsstatus einem Benutzer anzeigen konnen. Es ist dann un- 
mittelbar erkennbar, ob ein Gerat tiber den entsprechenden Si- 
cherheitsstatus verfagt, der fUr die jeweilige Aufgabe, die 
das Gerat erfailt, von Noten ist. Ein Anwender kann sich dx- 
rekt entscheiden, ob er beispielsweise das Gerat in Bezug auf 
eine bestimmte Funktionalitat nutzen will. Vorteilhaft ist 
auch, dass der Status der einzelnen Gerate intern hinterlegt 
ist so dass zur datentechnischen Weiterverarbeitung zur Ver- 
fugung steht. Dies ermoglicht es, den gesamten Sicherheitszu- 
stand von hoherwertigen Systemen bzw. Komplexen, die aus meh- 
reren Geraten bestehen anzeigen zu lassen. 
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Eine weitere vorteilhafte Ausbildung der Erfindung ist da- 
durch gekennzeichnet, dass das System zur Anzeige und/oder 
Erfassung des Sicherheitsstatus von Automatisierungsgeraten 
und/oder Automat isierungssystemen vorgesehen ist. Insbesonde- 
re im Automatisierungsumf eld fur Produktions- und/oder Ferti- 
gungsanlagen wird zu Kommunikationszwecken vermehrt auf das 
Internet bzw. Intranet zurtickgegrif f en. Die Verwendung von 
Standardprotokollen fur die Kommunikation ist in diesem Um- 
feld sehr vorteilhaft, da eine kostengtinstige Obertragung von 
Daten ermSglicht wird. Die Verwendung dieser offenen Koromuni- 
kationsmedien hat jedoch zur Folge, dass die Automat isie- 
rungssysteme einer Anlage nicht mehr vollstandig von der Um- 
welt abgeschottet sind. Zugriffe auf die Daten von aufien 
durch Hacker werden zunehmend moglich. Aus diesem Grund ist 
die Einfiihrung von Sicherheitsmechanismen speziell im Automa- 
tisierungsumf eld von Interesse. Hierbei steht nicht primer 
die Sicherung von Daten vor unerlaubtem MithOren im Focus, 
sondern vielmehr die Absicherung gegen ein Eindringen von au- 
Ben, welches einen Produktionsausf all durch Lahmlegen des Au- 
tomatisierungssystem zur Folge hatte. Um Automatisierungssys- 
teme auch im Rahmen offener Kommunikationsmedien nutzen zu 
kdnnen, ist somit vorteilhaft, wenn die einzelnen, im Automa- 
tisierungssystem vorhandenen Gerate sowie das gesamte System 
tiber eine einfache Mdglichkeit zur Erfassung sowie zur Anzei- 
ge des Sicherheitsstatus verfugen. Dem Anlagenbetreiber wird 
hierdurch jederzeit ermoglicht, den Sicherheitszustand von 
Teilen der Automatisierung seiner Anlage zu uberwachen. 

Eine weitere vorteilhafte Ausbildung der Erfindung ist da- 
durch gekennzeichnet, dass die Anzeigevorrichtung zur visuel- 
len Anzeige des Sicherheitsstatus vorgesehen ist. Hierdurch 
wird es einem Mitarbeiter auf der Anlage direkt ermoglicht, 
jederzeit den Sicherheitsstatus eines Automatisierungsgerates 
direkt am Gerat abzulesen. Die Anzeige fur den Sicherheits- 
status befindet sich auf dem Gerat an Stellen, die auch im 
eingebauten Zustand (falls zutreffend) gut sichtbar sind. 0b- 
licherweise wird die Anzeige auf der Frontplatte des jeweili- 
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gen Gerats installiert. Hierbei werden geeignete Mittel ver- 
wendet, die ein Ablesen der Anzeige ohne kompliziertere Be- 
dienvorgange ermoglichen. Es kann sich dabei beispielsweise 
urn eine Lampe oder eine LED (Leuchtdiode) handeln. Verschie- 
dene Sicherheitsaspekte (z.B. Zugrif f ssicherheit, Kommunika- 
tionssicherheit, Schutz deaktiviert) konnen beispielsweise 
tiber verschiedene Anzeigen dargestellt werden. Hierbei kann 
es sich um unterschiedliche Farben, verschiedene Zustande, 
wie Dauerlicht oder Blinken handeln. Auf eineiti Automatisie- 
rungsgerat kSnnen auch mehrere Anzeigen parallel angebracht 
werden, die Information zu unterschiedlichen Sicherheitsas- 
pekten vermitteln. Neben den reinen Automat isierungsgeraten 
konnen automatisierungsspezif ische Netzwerkkomponenten mit 
Sicherheitsmechanismen ausgestattet sein und eine entspre- 
chende Sicherheitsanzeige erhalten. Hierbei kann es sich bei- 
spielsweise um CP's, Switches, Router, Bridges, oder Automa- 
tisierungs-Firewalls handeln. 

Eine weitere vorteilhafte Ausbildung der Erfindung ist da- 
durch gekennzeichnet, dass Zugrif f smittel fur automatisie- 
rungstechnische Anwenderprogramme auf die internen Anzeige- 
mittel vorgesehen sind. Bei den Anwenderprogrammen handelt es 
sich beispielsweise um CFC, AWL, Function Block Diagram. In- 
nerhalb dieser Anwenderprogramme ist die Verschaltung von Si- 

5 cherheitsanzeigen von Einzelkomponenten mSglich. Die Sicher- 
heitsanzeigen konnen wie Automat is ierungsfunktionen projek- 
tiert werden. Der entsprechende Teil der Anwenderprogramme 
wird in diesem Fall gegen unberechtigte Veranderung ge- 
schUtzt. Die auf dem jeweiligen Gerat implementierte Software 

0 somit vor unberechtigtem Zugrif f geschUtzt. 

Eine weitere vorteilhafte Ausbildung der Erfindung ist da- 
durch gekennzeichnet, dass eine Abfrage des Sicherheitsstatus 
der internen Anzeigemittel durch Standardprotokolle uber eine 
5 gerateinterne Inf ormationsbasis vorgesehen ist. Die interne 
Sicherheitsanzeige kann vorteilhaft Uber ein Standardproto- 
koll, das SNMP (Simple Network Management Protocol) abgefragt 
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werden. Der Sicherheitsstatur aller Gerate eines Automatisie- 
rungssystems kann somit durch Netzwerkmanagement-Tools iiber- 
wacht werden. Der Zugang zum Sicherheitsstatus des jeweiligen 
Gerats erfolgt hierbei tiber eine sogenannte Management Infor- 
mation Base (MIB) . Die Nutzung von standardmafiig zur Verfu- 
gung stehenden Protokollen wird somit mOglich, und eine Ver- 
wendung weiterer Hilfsmittel fUr die Implement ierung eines 
entsprechenden sicherheitsinformationssystem ertibrigt sich. 

Eine weitere vorteilhafte Ausbildung ist dadurch gekennzeich- 
net, dass das System zur Verknupfung der Statusanzeigen der 
internen Anzeigemittel mehrerer Gerate zu Sammelanzeigen ei- 
nes Gesamtsicherheitsstatus der beteiligten Gerate vorgesehen 
ist. Diese Sammelanzeigen konnen, bei zunehmender Komplexitat 
des systems durch hohe Anzahl beteiligter Gerate, auf einfa- 
che Weise darUber Auskunft geben, ob der jeweilige Teil des 
systems mit den vorgesehenen sicherheitseinrichtungen ausges- 
tattet ist, bzw. ob sie aktiv sind. Dem Benutzer wird hier- 
durch eine Betrachtung jedes einzelnen im System vorhandenen 
Gerates erlassen. Die sicherheitsstatusinformation kann 
schnell erfasst werden und es herrscht jederzeit ein Uber- 
blick tiber den Gesamtstatus . 

Eine weitere vorteilhafte Ausbildung der Erfindung ist da- 
durch gekennzeichnet, dass die Sammelanzeigen zur externen 
visuellen Anzeige vorgesehen sind. Auch Saicatielanzeigen konnen 
somit vorteilhaft tiber die tiblichen Ausgabekanaie beispiels- 
weise auf Schrankmeldelampen oder Warteanzeigen ausgegeben 
werden. Eine leicht erkennbare Anzeige des Sicherheitsstatus 
ist somit auch auf hoherer Ebene gewahrleistet . 

Eine weitere vorteilhafte Ausbildung der Erfindung ist da- 
durch gekennzeichnet, dass die Sammelanzeigen zur Weiterlei- 
tung tiber die Vorrichtung zur Obertragung von Daten zu hxe- 
rarchischen Verknupfung zu jeweils hSherwertigen Sammelanzei- 
gen vorgesehen sind. Dies gibt die MOglichkeit, die Sicher- 
heitsanzeigen einer Anlage hierarchisch zu organisieren. Ab 
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einem bestimmten Komplexitatsgrad werden die Sicherheitsan- 
zeigen der jeweils untergelagerten Gerate zusammengef asst . 
Die Zusammenfassung erfolgt hierbei auf Basis der internen 
Anzeigen der Gerate. Komplexe Systeme konnen auf diese Weise 
mit einer einfachen und abersichtlichen Sicherheitsstatusin- 
formationen ausgestattet werden. So ist z.B. eine Aufteilung 
der Anzeigen der Sicherheitsstatus fUr bestimmte Produktions- 
abschnitte mSglich Oder auch die Anzeige der jeweiligen Si- 
cherheitszustande bei der Verteilung eines Automatisierungs- 
systems tlber mehrere Standorte. Die MGglichkeit der hierar- 
chischen Struktur sorgt hierbei fur eine hShere Obersicht 
tlber das gesamte System. Die hierarchische ZusammenfUhrung 
der Anzeigen innerhalb des Systems ermOglicht zudem eine so- 
genannte Sicherheits-Diagnose, da die Riickverfolgung der je- 
weiligen Anzeige des Sicherheitsstatus innerhalb des Systems 
erm5glicht wird. 

Eine weitere vorteilhafte Ausbildung des Systems ist dadurch 
gekennzeichnet, dass mindestens ein Server zur Verwaltung und 

0 Anzeige des jeweiligen Status der Sammelanzeigen vorgesehen 
ist. Ab einem bestimmten Komplexitatsgrad wird es ermoglicht, 
einen tibergeordneten Server (CSSA, Central Security Server 
for Automation) zu verwenden. Dieser Server fasst die Sicher- 
heitsanzeigen der unterlagerten Gerate zusammen, wobei die 

5 Zusammenfassung auf Basis der internen Anzeigen der Gerate 
erfolgt. Eine flache Hierarchiestruktur wird hierbei ange- 
strebt. Vorteilhaft ist hierbei vor allem, dass der Server 
als Steuerung oder auch als PC ausgefUhrt sein kann. Der Ser- 
ver speist beispielsweise konventionelle Anzeigen, die filr 

0 die Wartung des Systems verwendet werden oder die Anzeigen 
von Bedien- und Beobachtungssystemen. Fvir die Verwaltung und 
Anzeige des Sicherheitsstatus innerhalb des Systems wird 
durch die Verwendung dieser Server gewahrleistet, dass keine 
zusatzliche Hardware eingefuhrt werden muss. Eine kostenguns- 
5 tige Verwaltung und Anzeige des Sicherheitsstatus innerhalb 
des Systems ist somit gegeben. 
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Eine weitere vorteilhafte Ausbildung des Systems ist dadurch 
gekennzeichnet, dass das System zur Simulation des Sicher- 
heitsstatus der internen Anzeigemittel vorgesehen ist. Die 
Simulation der Sicherheitsanzeige ist speziell von Vorteil in 
Situationen wie beispielsweise der Inbetriebnahme . wahrend 
dieser Phase ist die Moglichkeit gegeben, einen Anzeigewert 
vorzugeben. Das System kann dadurch auf seine Funktion. hin 
wahrend der Inbetriebnahme getestet und uberprUft werden. Um 
bei der Simulation die. Sicherheitsrisiken zu verringern, wird 
far die DurchfUhrung der Simulation eine besondere Autorisie- 
rung (beispielsweise SchlUsselschalter) gefordert. Die Simu- 
lation wird aufierdem nach einer vom Hersteller vorgegebenen 
Zeit abgebrochen. Diese vorgegebene Zeit kann durch eine ent- 
sprechende Pro j ektierung und/oder Parametrierung weiter ein- 
geschrankt werden. Das Aktivieren der Simulation ist ein Pa- 
rameter des Sicherheitssystems auf den Geraten bzw. auch auf 
dem Server. Sicherheitsparameter konnen unter BerUcksichti- 
gung des notwendigen Zugrif f sschutzes von einem automatisie- 
rungstechnischen Anwenderprogramm beispielsweise Uber einen 
speziellen System-Baustein und/oder Uber SNMP verandert wer- 
den. 

Eine weitere vorteilhafte Ausbildung der Erfindung ist da- 
durch gekennzeichnet, dass das System zur Integration von Ge- 
raten ohne interne Sicherheits-Mechanismen durch Stellvertre- 
ter vorgesehen ist. Hierdurch wird ermoglicht, Gerate die 
Uber keine kompatible interne Sicherheitsanzeige bzw. keine 
Sicherheitserweiterungen verfUgen, Uber einen Stellvertreter 
in das sichere System zu integrieren. Es handelt sich hierbei 
beispielsweise um Altgerate, Gerate von Fremdherstellern oder 
Low-Cost-Gerate. Zugange aus dem sicheren System zu diesen^ 
Geraten bzw. umgekehrt Zugange von diesen Geraten in das si 
chere System werden durch den jeweiligen Stellvertreter gere- 
gelt, der mittels eines Schutzmechanismus Zugriffe erlaubt 
oder'sie abweist. Hierbei ist der Stellvertreter voll in das 
beschriebene System der Sicherheitserkennung und Anzeige in- 
tegriert. Er besitzt jedoch neben dem eigenen Mechanismus zur 
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Sicherheitserfassung zusatzliche Mechanismen zur Integration 
gegebenenfalls vorhandener oder inkompatibler Mechanismen der 
Sicherheitserkennung und Anzeige. Diese Integration erlaubt 
es ihm, systemkonf orme Sicherheitsanzeigen stellvertretend 
fUr seine unterlagerten Gerate zu bilden. Die Schutzmechanis- 
men des Stellvertreters lassen sich fur spezielle Situationen 
mit einer besonderen Berechtigung deaktivieren. Die Deakti- 
vierung flieBt in die Sicherheitsanzeige des Stellvertreters 
ein. Hier besteht ebenfalls eine simulationsmoglichkeit . 

Eine weitere vorteilhafte Ausbildung der Erfindung ist da- 
durch gekennzeichnet, dass die Vorrichtung zur Obertragung 
von Daten zwischen den Geraten eines Komplexes als Intranet 
und/ Oder Internet ausgebildet ist. Hierdurch wird die M6g- 
lichkeit gegeben, dass gesamte Sicherheitssystem auch stand- 
ortubergreifend zu nutzen, da DatenUbertragung Uber das In- 
ternet ermeglicht wird. Aufierdem bietet das Internet eine 
kostengiinstige Moglichkeit der Datentibertragung, da keine ei- 
gene Inf rastruktur zu diesem Zweck aufgebaut werden muss. 

Im folgenden wird die Erfindung anhand der in den Figuren 
dargestellten Ausfuhrungsbeispiele naher beschrieben und er- 
lautert. Es zeigen: 

FIG 1 ein AutomatisierungsgerSt mit einer sichtbaren Si- 
cherheitsanzeige; 
FIG 2 eine schematische Darstellung eines Gerats mit aufie- 

rer und innerer Sicherheitsanzeige; 
FIG 3 eine schematische Darstellung des Zugriffs auf die 

Sicherheitsanzeige tiber Standardprotokolle; 
eine schematische Darstellung der Zugrif f smoglichkeit 
Uber standardautomatisierungsanwendungen; 
FIG 5 eine schematische Darstellung des Zusammenf assens von 

Sicherheitsanzeigen zu Sammelanzeigen; 
FIG 6 eine schematische Darstellung eines Automatisierungs- 

systems mit hierarchisch gegliederten Sammelanzeigen; 



FIG 4 
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FIG 7 eine schematische Darstellung eines sicheren Stall- 

vertreters fUr GerSte ohne eigene Sicherheitsmecha 



nismen . 



FIG 1 zeigt eine beispielhaf te AusfUhrung der aufieren Anzeige 
4 far den Sicherheitsstatus eines Automatisierungsgerats 1. 
Die Anzeige 4 findet sich auf dem GerSt 1 an geeigneten Stel- 
len, die auch im eingebauten Zustand gut sichtbar sind. Die 
Anzeige 4 wird wie in der beispielhaf ten Darstellung auf der 
Frontplatte angebracht. Es werden beispielsweise Lampen oder 
Leuchtdioden fUr die Anzeige 4 verwendet. Eine Verwendung 
solcher Lampen sorgt fUr eine gute Sichtbarkeit der Anzeige 4 
und ein einf aches Ablesen wird hierdurch gewahrleistet . Urn 
verschiedene Sicherheitsaspekte anzuzeigen, konnen fur die 
Anzeige 4 gegebenenf alls verschiedene Farben verwendet werden 
Oder auch verschiedene Zustande, beispielsweise ein Dauer- 
licht Oder Blinken. Es konnen auch mehrere Anzeigen parallel 
verwendet werden, die unterschiedliche Zugrif f saspekte signa- 
lisieren. Vorteilhaft ist bei dieser Ausbildung vor allem, 
dass die Realisierung der Anzeige mit Hilfe von einfachen 
Leuchtdioden oder Lampen auf einem ohnehin extern angebrach- 
ten Display eine kostengtinstige Ldsung darstellt. 

FIG 2 zeigt eine schematische Darstellung eines Gerats 1, 
welches Uber eine externe Anzeige 4, die einen Sicherheits- 
status des Gerats 1 extern anzeigt, sowie Uber eine interne 
Anzeige 5 fiir einen internen Sicherheitsstatus des Gerats 1 
verftigt. Der Sicherheitsstatus des Gerats 1 wird tiber einen 
Detektormechanismus 3 erf asst. Der Detektormechanismus 3 er- 
kennt, ob das Gerat 1 sich in einem sicheren Zustand befin- 
det . 

vorteilhaft bei der dargestellten Ausbildung der Erfindung 
ist vor allem, dass das Gerat 1 seinen Sicherheitszustand so- 
wohl nach auBen visuell iiber die externe Anzeige 4 als auch 
intern Uber die interne Anzeige 5 anzeigen kann. Die interne 
Anzeige 5 bildet hierbei die Grundlage ftir eine technische 
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Weiterverarbeitung. Sie ermoglicht beispielsweise das Zusam- 
menfassen von Sicherheitsanzeigen mehrerer Gerate zu soge- 
nannten Sainmelanzeigen. Die interne und externe Anzeige 4, 5 
konnen wie in der beispielhaf ten AusfUhrung dargestellt vom 
gleichen Detektormechanismus 3 zur Erkennung des Zustandes 
gespeist werden. Es ist jedoch auch vorstellbar, das die au- 
Bere Anzeige 4 von der internen Anzeige 5 abgeleitet wird. 
Das dargestellte Ausfiihrungsbeispiel zeigt eine einfache Rea- 
lisierungsmOglichkeit fUr die Implementierung von Sicher- 
heitsanzeigen sowohl im auBeren als auch im inneren Bereich 
auf . Bei der inneren Anzeige 5 kann es sich hierbei \am einen 
einfachen Mechanismus handeln, wie beispielsweise das Setzen 
eines Flags. Dieses Flag kann dann von automatisierungstech- 
nischen Anwenderprogrammen gelesen und auf einfache Weise in- 
terpretiert werden. 

FIG 3 zeigt eine beispielhaf te Ausfuhrung fiir den Zugriff von 
Standardnetzwerkprotokollen auf die Sicherheitsanzeige eines 
Gerats 1- Der Zugriff wird hierbei uber eine sogenannte Mana- 
gement Information Base (MIB) 6 realisiert. Die Management 
Information Base 6 befindet im Gerat 1 und ist dort in der 
Lage, den gesetzten Status der internen Anzeige 5 abzulesen 
und einen Zugriff von auBen auf die Anzeige 5 zu ermoglichen. 
Hierbei wird Uber eine Datenubertragungsvorrichtung 7 die In- 
formation weitergeleitet. Zur Weiterleitung werden sogenannte 
Simple Network Management Protokolle (SNMP) verwendet. 

Vorteilhaft ist bei der dargestellten Ausfiihrung vor allem, 
dass Standardprotokolle zur Weiterleitung verwendet werden 
k5nnen, die auf TCP/IP basierten Netzen zur Anwendung kommen. 
Eine aufwendige Implementierung zusStzlicher DatenUbertra- 
gungsvorrichtungen erUbrigt sich in diesem Fall. Der Sicher- 
heitsstatus eines Gerats bzw. des gesamten Automatisierungs- 
system kann mit Hilfe einfacher Netzwerkmanagement-Tools ti- 
berwacht werden. 
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FIG 4 zeigt eine beispielhaf te Ausfahrung der Erfindung, bei 
der ein automatisierungstechnisches Anwenderprogramm 13 auf 
die interne Sicherheitsanzeige 5 eines Automatisierungsgerats 
1 zugreifen kann. Der Zugriff wird mit Hilfe spezieller Funk- 
5 tionsbausteine 12 errndglicht. Die Sicherheitsanzeigen kbnnen 
Uber eine Datenvibertragungsvorrichtung 7 an entsprechende An- 
zeigemittel 4, 5 weitergeleitet werden. 

Vorteilhaft ist bei der dargestellten Ausbildung vor alleiti, 
10 dass ein direkter Zugriff der Anwenderprograrnme ermQglicht 

wird. Hierdurch ist eine Verschaltung der Sicherheitsanzeigen 
von einzelnen Komponenten zu Sammelanzeigen innerhalb der An- 
wenderprograitime mSglich. Die Sicherheitsanzeigen kSnnen dem- 
entsprechend wie Automatisierungsfunktionen projektiert wer- 

15 den und der entsprechende Teil der Anwenderprograrnme kann in 
diesem Fall gegen unberechtigte Veranderung geschUtzt werden. 
Die Datentibertragung kann iiber normale Netzwerke wie bei- 
spielsweise Feldbusse realisiert werden. Die beispielhaf te 
Ausgestaltung des erf indungsgemaBen Systems ermoglicht eine 

20 einfache Projektierung des Sicherheitssystems innerhalb der 
Automatisierungssysteme . 

FIG 5 zeigt eine beispielhaf te Ausgestaltung des Sicherheits- 
systems, bei dem die Sicherheitsanzeigen 4, 5 der einzelnen 
25 Gerate 1 Uber eine Datentibertragungsvorrichtung 7 weiterge- 
leitet werden an einen Server 9 und dort in Form einer Sam- 
melanzeige 8 dargestellt werden. Vorteilhaft ist bei der dar- 
gestellten Ausbildung, das die Sicherheitsanzeigen der ein- 
zelnen Gerate zu einer Sammelanzeige 8 zusammengef asst werden 
30 konnen. Ab einen bestimmten Komplexitatsgrad wird hierzu ein 
iibergeordneter Server 9, ein sogenannter Central Security 
Server for Automation, CSSA eingefiihrt. Der Server 9 fasst 
die Sicherheitsanzeigen der untergelagerten Gerate 1 zusam- 
men Die Zusammenfassung erfolgt auf Basis der internen An- 
zeigen 5 der Gerate 1, wobei eine flache Struktur angestrebt 

wird. 
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Vorteilhaft ist bei der dargestellten Ausfahrung vor allem, 
das der CSSA 9 als einfache Steuerung oder PC Oder ahnliches 
ausgefUhrt sein kann. Die EinfUhrung spezieller Gerate ftir 
die Anzeige der Sammelanzeigen ist somit nicht no tig. Die 
Verwendung vorhandener Gerate innerhalb des Automatisierungs- 
system ermSglicht eine kostengunstige Realisierung. Der Ser- 
ver 9 kann hierbei auch konventionelle Anzeigen beispielswei- 
se Ober Bedien- und Beobachtungssysteme speisen. Hierbei gibt 
die Sammelanzeige 8 keine Auskunft uber die absolute Sicher- 
heit eines Systems. Sie zeigt vielmehr an, ob die vorgesehe- 
nen Sicherheitseinrichtungen aktiv sind. 

FIG 6 zeigt eine beispielhaf te AusfOhrung einer hierarchi- 
schen Gliederung des Sicherheitssystems . Hierbei werden die 
Sicherheitsanzeigen 5 einzelner Gerate 1 uber Datenubertra- 
gungsvorrichtungen 7 weitergeleitet zu Servern 9, die die Sx- 
cherheitssysteme der untergelagerten Gerate in einer Sammel- 
anzeige 8 darstellen, diese Sammelanzeigen 8 werden innerhalb 
des systems wiederum uber eine Datentibertragungsvorrichtung 7 
an hdherwertige Server 9 weitergeleitet, diese Server 9 spei- 
sen hoherwertige Sammelanzeigen 88. Die Sammelanzeigen 88 
zeigen den Sicherheitsstatus des gesamten Systems mit alien 
untergelagerten Teilen. Hierbei werden mehrere Gerate 1 zu 
einem sogenannten Geratekomplex 2 zusammengefugt . 

Vorteilhaft ist bei der dargestellten AusfUhrungsform vor al- 
lem, dass ein Anwender auf alien Ebenen eines Systems, bei- 
spielsweise eines Automatisierungssystems einen Oberblick u- 
ber den aktuellen Sicherheitsstatus erhait. Darauf aufbauend 
kOnnen wichtige Bedienungen durchgefUhrt bzw. unterlassen 
werden. Security-LScher und/oder Eindringlinge lassen sich 
finden und gegebenenf alls beseitigen und es konnen Fehler in 
der Sicherheitsprojektierung erkannt werden. Die Strukturie 
rung des sicherheitssystems in mehrere Hierarchieebenen er- 
maglicht auBerdem ein einfaches Einhangen neuer Geratekomple- 
xe. Sie macht die Gesamtlosung skalierbar und berUcksichtigt 
Migrationsmoglichkeiten . 
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Speziell far die Sicherheitsdiagnose ist die vorgeschlagene 
hierarchische Struktur von Vorteil, da eine RUckverfolgung 
Uber die jeweiligen Pfade innerhalb der Struktur ermSglicht 
wird. Hierbei kann dann genau festgestellt werden, in welchem 
Komplex 2 die Sicherheitsfunktionen fehlerhaft sind. Die Di- 
agnose wird realisiert iiber einen projektierten Austausch der 
Signale fUr die Sicherheitsanzeige iiber automatisierungstech- 
nische Anwenderprogramme, wie beispielsweise Funk tionsp lane, 
hierbei wird eine RUckverfolgung Uber die Anzeige des auslQ- 
senden Pfades (bei Logikverknupfungen) auf dynamisierten 
Funktionspianen (d.h. Funktionsplane mit Anzeige der aktuel- 
len Werte) durchgef Uhrt . Eine Kriterienanalyse, d.h. das au- 
tomatische Feststellen von Abweichungen gegeniiber dem Sollzu- 
stand mit entsprechender RUckverfolgung bis zum Verursacher 
wird durchgefiihrt. Des Weiteren kann tiber SNMP eine Abfrage 
der relevanten MIB-Anzeigen erfolgen. Eine RUckverfolgung ab- 
steigend in der Hierarchie wird uber regelbasierte Auswertung 
der Ursache bzw. des Auslosers durchgefUhrt, wobei die Regeln 
aus einer sicherheitsprojektierung des Systems erzeugt wer- 

den. 

FIG 7 zeigt eine beispielhaf te Ausfuhrung des Sicherheitssys- 
tems, bei dem Cerate 10, welche nicht Uber eigene Sicher- 
heitsmechanismen verfUgen durch einen Stellvertreter 11 rep- 
resent iert werden. Die DatenUbertragung erfolgt hierbei uber 
die DatenUbertragungsvorrichtung 7. 

Der Vorteil bei dem dargestellten AusfUhrungsbeispiel liegt 
vor allem in der M5glichkeit, Uber die Stellvertreter Gerate 
in das system zu integrieren, welche keine eigene Sicher- 
heitsanzeige bzw. keine Sicherheitserweiterungen haben. Hier- 
bei kann es sich beispielsweise urn Altgerate, Gerate von 
Fremdherstellern oder Low-cost-Gerate handeln. Die Moglich- 
keit der Integration solcher Gerate ist vor allem in einer 
Obergangsphase von Vorteil, da sie eine Moglichkeit dar- 
stellt, ein sicheres System zu etablieren, ohne gleichzeitig 
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auf der gesamten Anlage im Automatisierungssysteia alle Gerate 
auswechseln zu mUssen. Eine kostengUnstige Moglichkeit, ein 
sicheres System aufzubauen, wird hierdurch gegeben. Die Zu- 
gange aus dem sicheren System zu den Geraten 10, welche keine 
eigenen Sicherheitsmechanismen besitzen bzw. umgekehrt die 
Zugange von diesen Geraten 10 in das sichere System werden 
hierbei durch den jeweiligen Stellvertreter 11 geregelt. Ein 
Schutzmechanismus erlaubt also Zugriffe oder weist sie ab. 
Der Stellvertreter 11 wird hierbei voll in das beschriebene 
system der Sicherheitserkennung und Anzeige integriert. Neben 
einem ihm eigenen Mechanismus zur Sicherheitsstatuserkennung 
besitzt er weitere Mechanismen zur Integration gegebenenf alls 
vorhandener aber inkompatibler Mechanismen der Sicherheitser- 
kennung bzw. Anzeige. Diese Integration erlaubt es ihm, sys- 
temkonforme Sicherheitsanzeigen stellvertretend ftir seine un- 
terlagerten Gerate 10 zu bilden. Die Schutzmechanismen des 
Stellvertreters 11 lassen sich fiir spezielle Situationen mit 
einer besonderen Berechtigung deaktivieren. Die Deaktivierung 
flieBt in die Sicherheitsanzeige des Stellvertreters 11 ein. 
Der Stellvertreter 11 bezieht die Informationen uber die Si- 
cherheit der unterlagerten Gerate 10 beispielsweise direkt 
von diesen Geraten. Hierbei konnen die Gerate die Information 
in verschiedenen Formaten anbieten. Der Stellvertreter 11 
kann die Information Uber den Sicherheitsstatus der Gerate 10 
auch selbst besitzen bzw. selbst regeln. In diesem Fall a- 
giert er nachdem Firewall-Prinzip. Der Stellvertreter 11 ist 
far die Sicherheit der ihm unterlagerten Gerate 10 verant- 
wortlich . 

Die Erfindung betrifft zusammenf assend ein System sowie ein 
Verfahren zum Erfassen und zur Anzeige eines Sicherheitssta- 
tus von Geraten, insbesondere Automatisierungsgeraten bzw. - 
systemen. Die Gerate 1 besitzen einen Detektormechanismus 3 
zur Erkennung eines Sicherheitsstatus sowie eine externe 4 
und eine interne Anzeige 5 fUr den jeweiligen Status. 0ber 
eine Management Information Base (MIB) 6 kann mithilfe von 
Simple Network Management Protokollen (SNMP) auf die interne 
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Anzeige 5 zugegriffen werden. Der Status der internen Anzeige 
wird Uber eine DatenUbertragungsvorrichtung 7 innerhalb des 
systems weitergeleitet und mithilfe von Central Security Ser- 
ver fur Automation (CSSA) verarbeitet. Sammelanzeigen 8, 88 
kSnnen auf beliebiger Hierarchieebene im System den Sicher- 
heitsstatus der jeweiligen unterlagerten Gerate 1 bzw. Gera- 
tekomplexe 2 anzeigen. Gerate ohne Sicherheitsfunktionalitat 
10 konnen durch einen Stellvertreter 11 in das System integ- 
riert werden. 
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PatentansprUche 

1. system zur Anzeige und/oder Erfassung eines Sicherheits- 
status von Geraten (1), welche iiber interne Sicherheits- 
Mechanisitien verfugen, und/oder von aus derartigen Geraten (1) 
zusammengesetzten Komplexen (2) mit 

gerateinternen Mitteln (3) zum Feststellen des Sicher- 

heitsstatus mindestens eines Gerats (1), 

- mindestens einer Anzeigevorrichtung (4) zur externen An- 
zeige des Sicherheitsstatus mindestens eines Gerats (1) 

direkt am Gerat (1)/ 

- Anzeigemitteln (5) zur internen Anzeige des Sicherheits- 
status mindestens eines Gerats (1) direkt im Gerat (1) und 
einer Vorrichtung (7) zur Obertragung von Daten zwischen 
den Geraten (1) eines Komplexes (2), 

wobei der Status der Anzeigemittel (5) zur datentechnischen 
Weiterverarbeitung im Komplex (2) vorgesehen ist. 

2. System nach Anspruch 1, 
0 dadurch gekennzeichnet, 

dass das system zur Anzeige und/oder Erfassung des Sicher- 
heitsstatus von Automatisierungsgeraten und/oder Automatxsie- 
rungssystemen vorgesehen ist. 

5 3. system nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, 
dass die Anzeigevorrichtung (4) zur visuellen Anzeige des Si 
cherheitsstatus vorgesehen ist. 



0 
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4. system nach einem der vorhergehenden AnsprUche, 
dadurch gekennzeichnet, 

dass Zugriffsmittel (12) fur automatisierungstechnische An- 
wenderprogramme (13) auf die internen Anzeigemittel (5) vor- 
gesehen sind. 

5. System nach einem der vorhergehenden AnsprUche, 
dadurch gekennzeichnet. 
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dass eine Abfrage des Sicherheitsstatus der internen Anzeige- 
mittel (5) durch Standardprotokolle iiber eine gerateinterne 
Informationsbasis (6) vorgesehen ist. 

6. system nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass das system zur Verknupfung der Statusanzeigen der inter- 
nen Anzeigemittel (5) mehrerer Gerate (1) zu Sammelanzeigen 
(8) eines Gesamtsicherheitsstatus der beteiligten Gerate (1) 
vorgesehen ist. 

7. System nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

T ^^A^^y^ fQ\ T-nr- fa3tl-prnen visuellen Anzeige 
dass die Sammelanzeigen (8) zur exT:erneii 

vorgesehen sind. 

8. system nach einem der vorhergehenden Ansprtiche, 
dadurch gekennzeichnet, 

dass die sammelanzeigen (8) zur Weiterleitung Uber dxe Vor- 
richtung (7) zur tJbertragung von Daten zur hierarchischen 
verknupfung zu jeweils hoherwertigen Sammelanzeigen (88) vor- 
gesehen sind- 

9. system nach einem der vorhergehenden Ansprtiche, 
dadurch gekennzeichnet, 

dass mindestens ein Server (9) zur Verwaltung und Anzeige des 
jeweiligen Status der Sammelanzeigen (8, 88) vorgesehen ist. 

10. system nach einem der vorhergehenden AnsprUche, 
dadurch gekennzeichnet, 

dass das system zur Simulation des sicherheitsstatus der in- 
ternen Anzeigemittel (5) vorgesehen ist. 

11. system nach einem der vorhergehenden AnsprUche, 
, dadurch gekennzeichnet. 
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dass das system zur Integration von Geraten (10) ohne interne 
Sicherheits-Mechanismen dxirch Stellvertreter (11) vorgesehen 

ist . 

12. System nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass die Vorrichtung (7) zur tJbertragung von Daten zwischen 
den Geraten eines Komplexes als Intranet und/oder Internet 
(11) ausgebildet ist. 

13. Verfahren zur Anzeige und/oder Erfassung eines Sicher- 
heitsstatus von Geraten (1) mit internen Sicherheits- 
Mechanismen und/oder aus derartigen Geraten (1) zusammenge- 

setzten Komplexen (2) bei dem 

der Sicherheitsstatus mindestens eines Gerats (1) festge 

stellt wird, 

. der Sicherheitsstatus mindestens eines Gerats (1) direkt 

am Gerat extern angezeigt wird, 
_ der Sicherheitsstatus mindestens eines Gerats (1) direkt 

im Gerat intern angezeigt wird und 
- Daten zwischen den Geraten (1) eines Komplexes (2) uber- 

tragen werden, 

wobei der jeweils intern angezeigte Sicherheitsstatus da- 
tentechnisch im Komplex (2) weiterverarbeitet werden kann. 

14. Verfahren nach Anspruch 13, 
dldurch gekennzeichnet, 

dass der Sicherheitsstatus von Automatisierungsgeraten 

und/oder Automatisierungssystemen angezeigt und/oder erfasst 

wird. 

15. Verfahren nach den AnsprUchen 13 oder 14, 
dadurch gekennzeichnet, 
dass der Sicherheitsstatus visuell angezeigt wird. 

16. Verfahren nach einem der AnsprUche 13 bis 15, 
dadurch gekennzeichnet. 
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dass automatisierungstechnische Anwenderprogramme (13) Uber 
Zugriffsmittel (12) auf die internen Anzeigemittel (5) 
zugreif en. 

17. Verfahren nach eineia der Anspruche 13 bis 16, 
dadurch gekennzeichnet, 
dass der sicherheitsstatus der internen Anzeigemittel (5) 
durch Standardprotokolle uber eine gerateinterne Informatx- 
onsbasis (6) abgefragt wird. 

18. verfahren nach einem der Ansprtlche 13 bis 17, 
dadurch gekennzeichnet, 
dass die Statusanzeigen der internen Anzeigemittel (5) mehre- 
rer Gerate (1) zu Sammelanzeigen (8) Uber einen Gesamtsicher- 
heitsstatus der beteiligten Gerate (1) verknUpft werden. 

19. Verfahren nach einem der Anspruche 13 bis 18, 
dadurcn geKeiin-^ 

dass die sammelanzeigen (8) extern visuell angezeigt werden. 

20. Verfahren nach einem der AnsprUche 13 bis 19, 
dadurch gekennzeichnet, 

1 „«4««« (R\ 711 hierarchisch hoherwertigen 
dass die Sammelanzeigen (8) zu nierai^-uxov^ 

sammelanzeigen (88) verknupft werden. 

21. Verfahren nach einem der Anspruche 13 bis 20, 
dadurch gekennzeichnet, 
dass der jeweilige Status der Sammelanzeigen (8, 88) durch 
mindestens einen Server (9) angezeigt und verwaltet wird. 

22 Verfahren nach einem der AnsprUche 13 bis 21, 
dadurch gekennzeichnet, 
dass der sicherheitsstatus der internen. Anzeigemittel (5) s 
muliert werden kann. 

23. verfahren nach einem der AnsprUche 13 bis 22, 
dadurch gekennzeichnet. 
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dass Gerate (10) ohne interne Sicherheits-Mechanismen durch 
Stellvertreter (11) integriert warden. 

24. Verfahren nach einem der AnsprUche 13 bis 23, 
dadurch gekennzeichnet, 

dass Daten zwischen den Geraten (1) eines Komplexes (2) aber 
intranet und/oder Internet ubertragen werden. 

25. Automatisierungsgerat zur Anzeige eines Sicherheitssta- 
tus mit 

- gerateinternen Mitteln (3) zum Feststellen des Sicher- 
heitsstatus des Automatisierungsgerats (1), 

- mindestens einer Anzeigevorrichtung (4) zur externen An- 
zeige des Sicherheitsstatus des Automatisierungsgerats (1) 

direkt am Gerat (1)/ 

- Anzeigemitteln (5) zur internen Anzeige des Sicherheits- 
status des Automatisierungsgerats (1) direkt im Gerat (1) . 

26. Automatisierungsgerat nach Anspruch 25, 
dadurch gekennzeichnet, 

dass die Anzeigevorrichtung (4) zur visuellen Anzeige des Si- 
cherheitsstatus vorgesehen ist. 

27. Automatisierungsgerat nach einem der AnsprUche 25 oder 
26, 

dadurch gekennzeichnet, 
dass Zugriffsmittel (12) fUr automatisierungstechnische An- 
wenderprogramme (13) auf die internen Anzeigemittel (5) vor- 
gesehen sind* 

28. Automatisierungsgerat nach einem der AnsprUche 25 bis 
27, 

dadurch gekennzeichnet, 
dass eine Abfrage des Sicherheitsstatus der internen Anzeige- 
mittel (5) durch Standardprotokolle Uber eine gerateinterne 
Informationsbasis (6) vorgesehen ist. 
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Zusciinmenf assung 

System zur Erfassung und Anzeige eines Sicherstatus von Gera- 
ten 

Die Erfindung betrifft ein System sowie ein Verfahren zum Er- 
fassen und zur Anzeige eines Sicherheitsstatus von Geraten, 
insbesondere Automatisierungsgeraten bzw. -systemen. Die Ge- 
rate (1) besitzen einen Detektormechanismus (3) zur Erkennung 
eines Sicherheitsstatus sowie eine externe (4) und eine in- 
terne Anzeige (5) far den jeweiligen Status. Ober eine Mana- 
gement Information Base (MIB) (6) kann mithilfe von Simple 
Network Management Protokollen (SNMP) auf die interne Anzeige 
5 zugegriffen werden. Der Status der internen Anzeige wird 
Uber eine DatenUbertragungsvorrichtung (7) innerhalb des Sys- 
tems weitergeleitet und mithilfe von Central Security Server 
far Automation . (CSSA) verarbeitet. Sammelanzeigen (8, 88) 
konnen auf beliebiger Hierarchieebene im System den Sicher- 
heitsstatus der jeweiligen unterlagerten Gerate (1) bzw. Ge- 
ratekomplexe (2) anzeigen. Gerate ohne Sicherheitsfunktiona- 
litat (10) kOnnen durch einen Stellvertreter (11) in das Sys- 
tem integriert werden. 
Fig. 6 
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